攻撃者は、あなたのパスワードを使って堂々とログインする
この手の話は今後も続く。毎週、毎月のようにだ。現実として、あなたのパスワードやメールアドレスの一部は、ほぼ確実にオンラインのどこかで漏洩している。これは、ウェブサイトやサービスの侵害か、あなたの所有するデバイスに感染したインフォスティーラー型マルウェアによる可能性がある。いずれにせよ、結果は同じだ。
ハントは今回の発見について「これまでに処理した中で最も群を抜いて広範なデータセットです」と述べる。認証情報窃取の業界とのイタチごっこに勝つことはできないだろうし、「ハッカーはこじ開けるのではなく、ログインします」という格言を念頭に置くべきだ。しかし、ほぼすべてのティア1のウェブサイトやプラットフォームは、利用者が安全に過ごせるようツールを提供している。残念ながら、多数のユーザーはいまだに自らのセキュリティを強化していない。
玄関の鍵穴に鍵を差したままにしているのと同じ
端的に言えば、パスワードとメールの組み合わせだけで守るのは、自宅の玄関の鍵穴に鍵を外側から差しっぱなしにしておくのと同じである。自宅でそんなことをしないなら、オンラインでもしてはならない。パスワード単体より良いものなら何でもましであり、そのためにマイクロソフトは10億超のアカウントからパスワードを完全に削除することに全力を挙げている。
二要素/多要素認証(2FA/MFA)を必ず設定すべき
そこまでやる必要はない──そして現時点ではGmailなどの全ユーザーはそこまでできないかもしれない──そんな人は、すべてのアカウントで二要素/多要素認証(2FA/MFA)を必ず設定すべきだ。選択肢がある場合はSMS(ショートメッセージ)は使わないこと。テキストは安全ではない。最良で最も簡単なのは、スマートフォン上の認証(authenticator)アプリだ。主要ベンダーのものであればどれでも問題ない。
さらに良い防御策は、パスキー
繰り返しになるが、さらに良い防御策は、対応するすべてのアカウントにパスキーを追加することだ。グーグル、マイクロソフト、メタ、アマゾンは設定を容易にしている。アップルも同様だが、独自の、いわばアップルらしい方法で行っている。これはアカウントの安全性をハードウェア認証に結びつけ、攻撃者やマルウェアがあなたの認証情報を盗み出して自分のデバイスで使うことを不可能にする。
これらの簡単な対策を講じれば、あなたのパスワードがデータ漏えいに含まれていても、それを悪用されることはないと自信を持ってニュースの見出しを読めるようになる。これらの変更を行わないのであれば、逆のことが成り立つ。あなたはいま、深刻なリスクにさらされている。
